Trojan-Proxy.Win32. Small.fk

Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера. Является приложением Windows (PE EXE-файл). Имеет размер 8682 байта. Упакована FSG. Размер распакованного файла — около 49 КБ. Написана на Visual C++.

Инсталляция

При запуске вирус создает в системном каталоге Windows библиотеку с произвольным именем:

%System%\<произвольный набор символов>.dll — имеет размер 7168 байт, детектируется Антивирусом Касперского как Trojan.Win32.Obfuscated.fw

Затем создает в системном реестре следующий ключ:

  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fade]
  "DllName" = "<произвольный набор символов>.dll"
  "MaxWait" = " dword: 0x00000001"
  "Logon" = "Event"
  "Asynchronous" = "dword: 0x00000001"
  "Impersonate" = "dword: 0x00000001"

Деструктивная активность

Чтобы обойти сетевые экраны и антивирусную защиту, троянец ищет окна сообщений с заголовком:

  Create rule for <имя троянской программы>

Также ищет в системе окна с именами классов:

  AVP.AlertDialog
  AVP.AhAppChangedDialog
  AVP.AhLearnDialog
  

И имитирует в них нажатия на кнопки:

  Allow
  Skip
  Apply to all
  Remember this action

Таким образом вирус разрешает запрашиваемые действия.

Окна с именем класса «AVP.Product_Notification» закрываются.

Далее троянская программа производит запись в память системного процесса «explorer.exe» — для сокрытия своего присутствия в системе и получения беспрепятственного доступа в Интернет. С целью получения параметров интернет-подключения пользователя вирус загружает ссылку:

  http://httpdoc.info/cgi-bin/****.cgi
  

В ходе своей работы троянец открывает произвольный UDP-порт. После этого компьютер пользователя может использоваться злоумышленником в качестве прокси-сервера.